Ein ganz wesentlicher Schritt zur Vermeidung von False-Positives im Zusammenhang mit aktiver Intrusion Prevention ist die gewissenhafte Anpassung des Regelwerks an die tatsächlich vorhandene Systemlandschaft. Auch wenn Hersteller heute oft von Plug-and-Play-IDS-Appliances sprechen, so sind Alarmmeldungen über Angriffe zum Beispiel auf einen IIS-Server nur von untergeordnetem Interesse, wenn ein Apache-Server die Webanfragen bedient. Dies wird umso wichtiger, wenn automatisiert aktive Intrusion Responses erfolgen. Um den Aufwand des Fein-Tunings eines IPS gering zu halten, hilft die Korrelation der Ergebnisse eines Security- Assessments mit dem IPS-Regelwerk und den Wahrscheinlichkeiten für das Eintreten von Ereignissen. Neueste Produktentwicklungen unterstützen dies durch integrierte Sicherheitsscanner. Damit reduziert sich der Implementierungsaufwand erheblich.